Артём Гавриченков: «Борьба с DDoS-атакой – это игра краплеными картами с профессиональным шулером»::Журнал СА 4.2013
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 2252
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 2228
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1788
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1311
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1842
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Артём Гавриченков: «Борьба с DDoS-атакой – это игра краплеными картами с профессиональным шулером»

Архив номеров / 2013 / Выпуск №4 (125) / Артём Гавриченков: «Борьба с DDoS-атакой – это игра краплеными картами с профессиональным шулером»

Рубрика: Гость номера /  Гость номера

Артём Гавриченков:
«Борьба с DDoS-атакой – это игра краплеными картами с профессиональным шулером»

На вопросы «Системного администратора» отвечает руководитель команды разработчиков компании Highloadlab

Артём Гавриченков
Досье
Артём Гавриченков, руководитель группы разработчиков точек сети фильтрации Qrator. Окончил кафедру АСВК факультета ВМК МГУ в 2010 году. Убежден, что смысл существования информационных технологий в поиске простых инструментов для решения сложных задач. Увлекается автоспортом и старыми видеоиграми, преданный читатель научной фантастики.

– Артём, расскажите, пожалуйста, об истории создания вашей компании и сервиса Qrator в частности.

– Компания сформировалась в МГУ в рамках научно-исследовательского проекта по проблематике DDoS-атак на публичные веб-ресурсы. Миссией проекта было искоренение проблемы DDoS-атак в принципе, сделав этот метод борьбы с конкурентами как минимум финансово необоснованным.

Изначально мы планировали предоставлять всем желающим бесплатную защиту от атак и собирать статистику по актуальным методам нападения. Но спустя время мы столкнулись с неожиданной проблемой: атаки на мелкие сайты просты, научиться чему-либо на их примере сложно, а серьезные компании к нам не обращались, поскольку мы не брали на себя никаких обязательств.

После долгих переговоров нам удалось подключить к безвозмездному исследовательскому проекту несколько крупных и уважаемых компаний, однако стало ясно, что нужно двигаться вперед. В середине 2010 года мы подписали контракты с несколькими дата-центрами, и в сентябре того же года разработанная нами система фильтрации трафика была запущена в коммерческую эксплуатацию.

С тех пор многое изменилось как в исходном коде системы, так и в нашем понимании. Постепенно мы обрастали крупными клиентами, такими как телеканал ТНТ, радиостанция «Эхо Москвы», ряд банков. Чем больше становилось покрытие, тем больше информации мы получали, соответственно менялось и наше видение. Проблема, которую мы решаем, эволюционирует, так что наш исследовательский проект продолжается и поныне, уже вне стен альма-матер.

– Расскажите о сущности и разновидностях современных DDoS-атак. Я знаю, что у вашей компании есть своя классификация подобных атак.

– DDoS-атаки можно классифицировать на основе того, какого уровня сеть собирается вывести из строя та или иная атака.

Например, атаки на особенности глобальной маршрутизации и дизайна протокола BGP. Это редко встречающийся и сложный в реализации, однако, эффективный и труднодиагностируемый вид атак. Сейчас мы как раз готовим к релизу продукт, который позволит NOC на основе модели глобальной сети обнаруживать, диагностировать и ликвидировать уязвимости в их политиках маршрутизации.

Атаки сетевого уровня – широкополосные атаки типа UDP flood, ICMP flood и прочие, целью которых является исчерпание полосы пропускания сервиса-жертвы. Здесь рецепт может быть только один – иметь резерв по полосе. Для ориентира можно использовать данные Qrator: максимальная атака сетевого уровня на нашего клиента имела мощность в районе 50 Гбит/с. В качестве дополнительной меры можно попытаться применить механизм BGP Flow Spec (RFC 5575), чтобы отсечь трафик тех протоколов, которые не используются в вашей сети.

Атаки транспортного уровня: SYN flood, ACK flood, TCP connection flood, FIN-WAIT-2... Их цель – эксплуатация уязвимых и неэффективных мест в реализации протокола транспортного уровня TCP, например, алгоритма установления TCP-соединения или механизма TCP connection tracking. Атаки этого уровня отражаются с применением ряда методик (например, SYN cookies), нескольких best practices (таких, как, например, разумное ограничение максимального числа открытых TCP-соединений per-IP) и оптимизацией параметров TCP-автомата на защищаемом сервере под конкретную выполняемую задачу (например, /proc/sys/net/** в GNU/Linux).

Я не случайно привел в пример connection tracking. Многие системные администраторы любят фильтровать входящие пакеты в Linux, используя модули conntrack и state, например, следующим образом: 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

 В условиях атаки спустя некоторое время их сервер прекращает обслуживать пользователей, а в dmesg оказывается тонна сообщений nf_conntrack: table full, dropping packet. Размер таблицы connection tracking по умолчанию зависит от нескольких параметров, но, как правило, равен 65 536 или 131 072, и ботнета в 5-10 тысяч машин достаточно, чтобы переполнить эту таблицу за пару секунд. Мы рекомендуем с осторожностью относиться к использованию connection tracking и регулярно отслеживать с помощью команды `conntrack -L', какие именно соединения попадают в эту таблицу.

Атаки прикладного уровня. Их цель – вывод из строя непосредственно приложения, обрабатывающего запросы пользователя, за счет, например, многочисленных «тяжелых» запросов. Здесь нет какого-то универсального метода отражения всего и вся, успешность атаки зависит от мастерства как нападающего, так и обороняющегося.

Многие атаки могут затрагивать несколько уровней сети сразу. Например, SYN flood с большим packet rate может не только вывести из строя обработчик TCP-протокола на защищаемом сервере, но вдобавок еще и забить канал перед ним. Другой аналогичный пример – атаки на DNS, использующие большое число легитимных датаграмм-запросов и выводящие из строя как канальную емкость, так и сервер DNS – протокола прикладного уровня.

Вообще UDP-датаграммы DNS легко генерируются, а при этом фильтровать их, за исключением некоторых случаев, просто невозможно – сгенерированная злоумышленником датаграмма теоретически может побитово совпадать с легитимным запросом. Системные администраторы, расположившие публичный DNS-сервер в собственной сети, здорово рискуют.

И, наконец, иногда злоумышленник может использовать атаки сразу нескольких видов одновременно, комбинируя, например, ICMP flood и SYN flood с атакой прикладного уровня. Это действенно по двум причинам.

Первая – комбинированные атаки создают жертве не одну, а сразу несколько проблем. Вторая причина – комбинированные атаки отвлекают внимание системных администраторов от действительно важных вещей. Например, вместо того, чтобы заниматься атакой прикладного уровня, администратор пытается как-то побороть ICMP flood, хотя на самом деле канальная емкость не исчерпана, и ICMP flood сам по себе не вызывает у сервера неприятностей. В таких случаях перед тем, как решать проблему, важно предварительно выяснить, в чем же она состоит, даже если на это уйдет пара лишних минут.

– Есть ли какая-то специфика DDoS-атак именно на российские сайты? Вообще бытует мнение, что именно российские хакеры терроризируют чуть ли не полмира.

– Смотря с чем сравнивать. Очевидно, что Рунет в плане атак опережает большинство стран мира, особенно европейских, но вот, например, Китай сейчас впереди планеты всей – сетевые ресурсы сайтов Поднебесной изначально рассчитаны на одновременную работу просто огромного числа пользователей, поэтому и атаки там используются более мощные.

Кроме того, бежать впереди собственного рынка для злоумышленников еще и опасно. Вспомните, какую реакцию пару лет назад вызвало сообщение о DDoS-атаке мощностью 60 Гбит/с, создавшей проблемы даже для Яндекса. Или прошлогодняя атака на slon.ru, в которой принимало участие до 200 тысяч ботов. Такие резонансные случаи могут спровоцировать повышенную активность правоохранительных органов, чего атакующий всеми силами хотел бы избежать.

Если говорить именно о Рунете, то, вероятно, его специфика состоит в довольно высоком (на фоне остального мира) среднем уровне системных администраторов, поэтому у нас больше доля нестандартных атак прикладного уровня, а вот, например, атак сетевого уровня всего лишь около 5% от общего числа. Если говорить в целом, то я полагаю, что значимость «русских хакеров» за рубежом преувеличена, основной их рынок – внутри самой России.

– Какая была самая мощная DDoS-атака из тех, что вы лично отбили?

– Приведу самый драматический пример – выборы в Госдуму РФ 4 декабря 2011 года. Тогда к нам в течение трех дней обратились многие популярные СМИ – радиостанция «Эхо Москвы», «Новая Газета», телеканал «Дождь» и другие, испытывавшие очень серьезные проблемы.

Это и SYN flood в несколько миллионов пакетов в секунду, и UDP flood большого объема, и пресловутый ботнет в 200 тысяч голов, и все это осложнялось как повышенным вниманием пользователей к публикациям о ходе выборов, так и отсутствием у нас накопленной истории легитимных запросов для этих сайтов. Подноготную той ситуации каждый может представить себе сам в силу своего воображения.

Говоря о мощности атаки, мы должны понимать, об атаке какого уровня мы говорим. Бессмысленно измерять атаку прикладного уровня мегабитами в секунду, так же как и мерить SYN flood количеством source IP-адресов. По каждому из уровней сети у нас были более мощные атаки и до 4 декабря 2011-го, и после, но если говорить о суммарной мощности всех компонентов, то день выборов в Госдуму РФ запомнился нам исключительной мощностью DDoS-атак.

Другой недавний пример – это выборы в Координационный совет оппозиции осенью 2012 года. Тогда нам пришлось защищать непосредственно сам сайт выборов.

Начиная с какого-то момента стало ясно, что запаса производительности у защищаемого приложения практически не осталось. Система Qrator изначально спроектирована так, чтобы позволять произвольную кастомизацию под каждого заказчика. Все три дня выборов у нас был, так сказать, стресс-тест архитектуры: требовалось как можно более плотно интегрировать приложение и систему фильтрации трафика. В итоге ботнет в 135 тысяч ботов был успешно отфильтрован, а голосование прошло удачно.

Можно сколько угодно меряться потенциально имеющимися гигабитами, но в конечном итоге главное – это способность оперативно и эффективно помочь клиенту.

– Чем сегодня чаще всего являются подобные DDoS-атаки: способом шантажа и вымогательства, расчетливой местью конкурентов или развлечением самоутверждающихся подростков?

– DDoS-атака сегодня – это в первую очередь метод конкурентной борьбы. Да, месть, вымогательство и самоутверждение школьников – тоже частые причины атак, но они, как правило, примитивны. Качественная атака стоит дорого, и платить за нее готов тот, кому она принесет выгоду.

Приведу абстрактный пример. Представьте, что в областном центре интернет-рынок бытовой техники надежно поделен между тремя игроками, но туда хочет войти четвертый. Он, конечно, может потратить полгода на раскрутку и рекламу, а может просто заплатить злоумышленникам за недельный даунтайм своих соперников. За это время конкурирующие магазины гарантированно выпадут из поисковой выдачи, а когда они решат свои проблемы, на рынке уже будет новый игрок. Поэтому наиболее серьезные DDoS-атаки организуются на сайты, занимающие узкую рыночную нишу или делящие ее с одним-двумя конкурентами. Доходит до абсурда: у нас был случай, когда жертва атаки знала заказчика в лицо – у атакуемого магазина был единственный конкурент, больше эта атака никому не была нужна!

Существуют и другие мотивы для мощных атак, но они все так или иначе завязаны на деньги (или политику). Например, мы уже не раз рассказывали, как DDoS-атаки использовались для прикрытия воровства средств с банковского счета. Злоумышленник украл деньги через банк-клиент, а потом запустил двухдневную атаку на сервер банк-клиента. В течение двух дней бухгалтер компании, у которой «увели» средства, не мог проверить баланс счета и не переживал по этому поводу, потому что до отчетного периода было еще далеко, а банк-клиенты не отличаются стабильностью. Через два дня атака прекратилась, и пропажа была обнаружена, но отследить, куда ушли денежные потоки, уже было невозможно.

О компании
Компания Highloadlab специализируется на создании комплексных мер противодействия DDoS-атакам. Именно эта российская компания одной из первых в мире построила национальную сеть фильтрации данных, состоящую из узлов связи, которые расположены у крупнейших магистральных операторов мира. Это позволило создать принципиально новую технологию Qrator, обладающую на порядок большей устойчивостью и надежностью по сравнению с аналогами.

– Что такое Qrator сегодня: какое оборудование вы используете, каковы его возможности, какие у вас канальные возможности?

– Важный аспект решаемой нами задачи – это широкие возможности для кастомизации (как под конкретного заказчика, так в расчете на профессиональных blackhat-исследователей) и максимальная независимость от вендоров hardware и software. Все детали процедуры обработки клиентского трафика полностью нами контролируются. Это уже не раз помогало предоставлять услугу в сложных исходных условиях без потери качества.

Переводя с маркетингового языка: все, что работает с трафиком, может быть изменено в тот самый момент, когда это потребуется (и обновляется регулярно). Все компоненты, которые мы используем, написаны нами (и могут быть переписаны) или имеют опубликованные исходники под соответствующими открытыми лицензиями.

Мы планируем добавить в предыдущее предложение союз «и» – часть компонентов нашей системы в ближайшем будущем может стать достоянием сообщества. Соответственно подходим и к выбору оборудования – хотели бы проектировать свое собственное железо, но пока что довольствуемся доступными на рынке компонентами, отвечающими нашим требованиям и способными пройти тестирование в нашей лаборатории.

Концепция полного контроля инфраструктуры распространяется и на сетевую топологию – площадки Qrator располагаются в России и Европе в нескольких дата-центрах, которые обладают хорошей сетевой связностью и в состоянии предоставить нам четкие гарантии доступности. Мы непрерывно ведем поиск новых магистральных операторов связи для расширения своего присутствия, но наш список требований слишком велик, чтобы этот процесс был простым.

Имея в распоряжении несколько точек подключения, можно планировать услугу с практически стопроцентной доступностью. В то время как у каждого отдельного дата-центра есть свой «болевой порог» канальной емкости, при превышении его владельцу ДЦ будет дешевле и проще отключить проблемного клиента, чтобы не терпеть убытки и не заставлять других клиентов страдать. Эта политика полностью финансово обоснована, она касается не только мелких хостингов, но и применяется абсолютно всеми, только порог у каждого свой. Поэтому защищенный от DDoS-атак сервис нельзя построить в одном-единственном месте; даже если вы купите на миллиард специализированных железок, в какой-то момент упретесь в свой потолок.

Говоря про канальную емкость, нужно рассматривать две составляющие, так называемую пассивную и активную полосы пропускания. Пассивная полоса – это количество входящего трафика, которое возможно обработать на низших уровнях сети, например, пропускать или игнорировать каждый пакет на основе битовой маски. В рамках же активной полосы можно принять, обработать и проанализировать каждое открытое TCP-соединение. Размер нашей активной полосы постоянно варьируется и сейчас составляет чуть больше 30 Гбит/с; пассивная полоса имеется, по крайней мере в 100 Гбит/с, а реально еще больше.

– Я слышал, вы ищете математиков?

– Всегда есть сразу несколько разных направлений, над которыми мы работаем.

Все эти задачи чрезвычайно сложны как математически, так и алгоритмически. Каждый новый разработчик со свежим взглядом помогает нам совершенствовать систему, и мы стараемся не ограничивать полет фантазии. Как я уже сказал, при необходимости всю систему можно перекраивать и оптимизировать под новые задачи, так что в отличие от большинства аналогичных компаний мы не загоняем исследователей в жесткие рамки существующей архитектуры. У нас работают выпускники и аспиранты МГУ, МГТУ, Российской экономической школы – нам интересно пробовать новые подходы к решению проблем и комбинировать их с накопленной практикой.

– Как атакуемый интернет-сайт принимается под вашу защиту в условиях типичного аврала? Любой ли сайт может обратиться к вам за помощью?

– На сайте нашей системы (http://qrator.net) открыта регистрация для клиентов. Владелец или администратор интернет-ресурса вводит данные о своей компании и сайте, после чего получает для сайта IP-адрес из префикса, анонсируемого автономной системой Qrator, и прописывает его в A-запись DNS. Вся процедура, как правило, занимает от двадцати минут до часа. При наличии существующей учетной записи в системе добавление нового домена вообще дело считанных минут.

После переключения DNS некоторое время длится обучение системы под контролем дежурного инженера. В большинстве случаев это занимает менее часа, и потом сайт полноценно работает, обслуживая своих пользователей.

Есть и другой метод подключения – путем BGP-анонса защищаемой сети, но он требует проработки и в авральном режиме не применяется. Тем не менее при необходимости мы можем взять под защиту всю сеть клиента целиком, подключение под атакой будет занимать 30 секунд (время перестроения маршрутизации) вместо часа (среднее время обновления записей DNS).

Подключение каждого нового сайта проходит краткий процесс премодерации. Мы не принимаем под защиту ресурсы, нарушающие законодательство РФ, и некоторые отдельные сайты на основе расположенного там контента, но это буквально 1% от всех регистраций, мы стремимся помочь всем. Важно заметить, что первые сутки работы предоставляются клиенту бесплатно, чтобы он мог оценить уровень сервиса. Впрочем, спустя 24 часа после регистрации уходит лишь небольшая часть клиентов.

– Защита от копирования/парсинга информации с защищаемого вами веб-приложения. Насколько популярна эта опция?

– Такой услуги нет в публичном прайс-листе, потому что каждый раз она подразумевает отдельную работу инженера с защищаемым сервисом. Тем не менее у нас есть несколько клиентов, для которых мы предоставляем дополнительно защиту от автоматизированных регистраций, спама, парсинга данных. Это делается с применением тех же инструментов, что и защита от DDoS-атак прикладного уровня, но требует дополнительной настройки. В целом эта услуга не очень популярна, потому что клиенты предпочитают справляться с такими проблемами своими силами, например, с помощью CAPTCHA.

– Расскажите про ботнет – главный «плохой» персонаж, с которым вы ведете свою борьбу. Что характеризует современные ботнеты, какие разновидности существуют?

– Ботнеты развиваются сразу по нескольким направлениям. Одно из них – увеличение числа вычислительных единиц. С тех пор, как большинство сайтов стало использовать в качестве HTTP-фронтенда адекватные высоким нагрузкам reverse proxy-серверы наподобие Nginx или HAProxy, атакующим пришлось изрядно нарастить мощности ботнетов, чтобы не потерять рынок. Этот рост продолжается соразмерно эволюции серверных мощностей. Ботнет в 200 тысяч машин – пока скорее редкость, чем правило, но сети в 50‑60 тысяч уже стали рядовым случаем.

Второе направление – совершенствование методики. Есть ряд отдельных признаков бота, которые используются многими компаниями и системными администраторами для защиты от атак: неумение работать с ECMAScript, неполная реализация протокола HTTP, географическая принадлежность. Такая фильтрация, конечно же, легко обходится злоумышленниками, а дальше начинается игра с алгоритмами обхода сайта, который у каждого ботнета свой. Соответственно регулярно появляются новые методы мимикрии под легитимного пользователя, исследованием этих методов мы и занимаемся.

Вот чем мы не занимаемся, так это анализом тела ботнета. Это трудоемкая задача, актуальна она разве что для антивирусных компаний, потому что понимание внутренней структуры malware уже давно не дает ничего нового ни в плане анализа поведения HTTP-клиента на сайте, ни даже в плане поиска организатора атаки. Поиск организаторов – это оперативная работа, она осуществляется другими методами и стоит баснословных денег.

– Работа по противодействию распределенной DDoS-атаке, это и кооперация усилий различных провайдеров IXP и ISP. Как часто они идут навстречу? Какова специфика этого взаимодействия, ведь оно никак не регулируется законодательно и часто носит интернациональный характер?

– Так как мы не занимаемся расследованиями, то с провайдерами, как правило, не взаимодействуем. Когда взаимодействуем, ощущаем гордость за нашу бравую техподдержку, которая отвечает на заявки пользователя в течение нескольких минут. Как-то раз мы написали в пятницу одному ISP про льющуюся с него атаку в 10-12 Гбит/с, а ответ получили в понедельник. Это, к сожалению, норма.

Internet Exchange (IX) – это вообще отдельная тема. Мы не используем IX для размещения площадок фильтрации как раз по той причине, что они хоть и обладают толстым каналом, но никому ничего не гарантируют. В плане широкополосных атак большинство IX абсолютно «абузоустойчиво». Один европейский IXP в ответ на письмо на abuse@ с просьбой прекратить атаку, исходящую с размещенных у него серверов, посоветовал нам завернуть весь трафик с IX в блэкхол, и был таков. Это замечательный совет! Даже если мы отфильтруем трафик по направлению, он вернется нам по другому пути. Смысла в таких действиях никакого.

Другая вариация нормы – это когда сайт, приносящий своему хозяину приличный доход, расположен в дешевом хостинге без гарантий. После начала атаки хостинг сам отправляет IP-адрес сайта в блэкхол, и добиться удаления из блэкхола удается только на третий день, при этом владелец сайта терпит огромные убытки. Мы, правда, не считаем, что в данном случае хостинг в чем-то виноват – его клиент знал, на что шел, когда покупал подобное бюджетное решение.

Крупные unmanaged-сети встречаются часто, и пока что нет стимула, который бы заставил администраторов этих сетей взяться за ум. Еще не скоро наступит тот момент, когда участники глобальной сети начнут понимать, что любая возникающая в сети проблема может затронуть их самих и потому нужно стараться сотрудничать с окружающими.

– Сегодня часто можно услышать, как рядовые специалисты считают, что размещение своего сайта в облаке автоматически гарантирует его анти-DDoS защиту. Насколько правомерно такое мнение?

– Само по себе размещение в облаке – не панацея от атак, если облако не декларирует защиту от них. Но даже если облачный хостинг предлагает защиту, как правило, она осуществляется каким-то типовым инструментарием, и тонкую подстройку под конкретное приложение никто делать не будет.

И уж точно никуда не годится тезис, что вычислительных мощностей облака заведомо хватит для обработки любой атаки. В списке наших клиентов есть немало контрпримеров. Самая безобидная неприятность, которая может последовать из такого подхода, – счет за использованные ресурсы с шестью нулями. В худшем случае облачный хостинг просто заблокирует сайт-жертву, поскольку, как мы уже говорили, у каждого хостинга есть «болевой порог», после которого обслуживание данного клиента становится нерентабельным. Это правило не знает исключений, потому что любой хостинг – это коммерческая структура, направленная на получение прибыли.

Кроме того, облако решает только те проблемы, которые в принципе решаемы масштабированием. Облако – не панацея от просчетов в архитектуре приложения. Мы в таких случаях можем сделать гораздо больше, чем облачный хостинг, хотя, разумеется, тоже не всесильны.

– Но и нападающие далеко не всегда всемогущи и квалифицированы. Если можно, вспомните примеры из серии «самая глупая DDoS-атака, которую мы видели».

– Я говорил, что организатора атаки можно найти только с помощью оперативной работы и административного ресурса? Ну, так вот, мы знаем исключение из этого правила. Прошлым летом мы помогли поймать злоумышленника, который использовал для атаки в числе прочего анонимные прокси. Некоторые из прокси-серверов любезно передавали нам IP-адрес сервера, принадлежащего организатору, в HTTP-заголовке X-Forwarded-For. Это был большой сюрприз для организатора данной атаки – типичного скрипт-кидди!

Другой забавный пример тоже связан с расследованием инцидентов. Есть такой вид DDoS-атак, как «социальные» атаки с использованием инструментов наподобие LOIC (Low Orbit Ion Cannon), без ботнета. Люди, желающие «положить» определенный сайт, кооперируются, устанавливают себе на ПК соответствующую программу и в заранее определенный момент

запускают ее, выводя сервер из строя большим числом запросов. Атакующая программа может конфигурироваться каждым участником в отдельности, по желанию. Это, в частности, одна из типичных методик участников группы Anonymous.

Год назад к нам пришел клиент с атакой как раз такого рода. После успешного отражения клиент пожелал написать на атакующих заявление в органы, а нас привлек в качестве эксперта. В ответ на его запрос мы составили экспертное заключение, в которое по требованию клиента включили тексты запросов атакующих. В числе параметров GET-запросов было множество ненормативной лексики. Когда отсылаешь в правоохранительные органы официальные документы с коллекцией из матерных фраз, чувствуешь себя незабываемо.

– Какие советы вы можете дать сетевому UNIX-администратору, который столкнулся с атакой средней/слабой мощности на свой сайт или сеть? И, наоборот, чего лучше никогда не делать в ситуации DDoS-атаки?

– В первую очередь необходимо детально представлять себе структуру своего сайта и ближайшую к нему сеть. Нужно понимать, как работают сетевые протоколы, и уметь диагностировать проблему с каждым из них в отдельности. Противодействие атаке начинается задолго до самой атаки: ваши знания и умения, грамотная настройка сети, сервера и файрвола, четкий регламент действий в непредвиденной ситуации – все это существенная часть противодействия.

Ни в коем случае нельзя дергаться, предпринимать судорожные действия. Сварите чаю, сходите в аптеку и купите валидол – да, это долго, но если вы будете пытаться поднять сеть «в расстроенных чувствах», то в итоге потратите больше времени. Кардинальное изменение конфигурации «на живую» решит одну проблему, но создаст вам три новых, и вернуть все обратно будет очень сложно.

Хорошо изучите инструменты, заведомо доступные вам для защиты, научитесь с ними работать и сделайте так, чтобы они всегда были у вас под рукой. Поддерживайте контакты с разработчиками администрируемых сайтов на случай, если атака прикладного уровня будет эксплуатировать их недоработки. Будьте всегда готовы к миграции сайта на другой хостинг, если ваш нынешний решит, что ему не нужен клиент «с проблемами».

И помните: DDoS-атака – это игра краплеными картами с профессиональным шулером. Если вы проиграете, вам не в чем себя винить, но, если выиграете, имеете полное право собой гордиться.

Беседовал Игорь Савчук


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru